Come noto una delle grandi novità del GDPR che, il 25 maggio scorso è diventato applicabile in tutti gli Stati membri (il Codice Privacy italiano rimarrà in vigore per quelle parti che non sono in contrasto con il GDPR), è l’obbligo, nei casi previsti dall’art. 37 del Regolamento Europeo di inserire un Data Protection Officer (DPO), figura intorno alla quale, ancora oggi, molti sono gli interrogativi rispetto a competenze e requisiti. Una tra le diatribe più frequenti è quella relativa alla necessità o meno di certificazione. Facciamo chiarezza quindi su compiti, funzioni e soprattutto sul profilo professionale del DPO, figura intorno alla quale, anche dopo l’entrata in vigore del GDPR, molti sono gli interrogativi. Cosa dice la Norma UNI 11697:2017 e perché l’Italia ha fatto un passo in più.
Al riguardo il Regolamento Europeo definisce infatti il DPO come: “un esperto che deve essere in grado di fornire consulenza al management aziendale circa le prescrizioni della legge sulla protezione dei dati personali, sorvegliando poi che esse siano correttamente applicate, fungendo inoltre da punto di contatto con l’Autorità per la privacy e con gli interessati”.
Il Dpo è quindi spesso una persona fisica interna all’azienda o consulente o ancora potrebbe essere una società esterna di consulenza.
Comunque il DPO avrà un compito consultivo e di controllo a supporto del titolare e del responsabile del trattamento dei dati per garantire la conformità dell’organizzazione, una posizione molto simile a quella dell’Organismo di Vigilanza ex d.lgs. 231/01. Si richiede al DPO quindi di possedere un’adeguata conoscenza della normativa, degli aspetti gestionali e tecnici della sicurezza dei dati e adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse; in sintesi un ruolo molto complesso con conoscenze e competenze molto ampie.
In questo scenario si inseriscono i lavori che hanno portato all’approvazione e pubblicazione della Norma UNI 11697:2017 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza” che, nell’appendice B, in relazione alla figura del DPO, richiede in modo specifico al professionista: una laurea, un corso di almeno 80 ore su “Gestione della Privacy e Sicurezza delle Informazioni” con attestazione finale e minimo 6 anni di esperienza lavorativa legata alla privacy di cui almeno 4 anni in incarichi manageriali (gli anni possono diminuire o aumentare in funzione del titolo di studio – laurea magistrale o diploma).
La finalità della norma UNI è quella di assicurare che “determinate figure professionali possiedano, mantengano e migliorino nel tempo la necessaria competenza”.
Si potrebbe dire che in Italia è stato fatto un passo in più: partendo dal GDPR, è stata redatta una norma tecnica volontaria con la quale vengono definiti i requisiti relativi ai professionisti che opereranno nell’ambito del trattamento e della protezione dei dati personali, tra cui, in conformità agli articoli 37, 38 e 39 del Regolamento, anche i requisiti del DPO.
Quindi, mentre il Regolamento Europeo ha delineato in generale, ma in maniera obbligatoria, requisiti, competenze, conoscenze e qualità del DPO, la normativa UNI 11697:2017 con carattere volontario, li ha ulteriormente dettagliati a favore di quei professionisti che vorranno scegliere la certificazione quale ulteriore garanzia della propria professionalità.
In tutto questo agli enti di formazione si chiede di rimanere focalizzati sul proprio ruolo e missione, ossia quello di preparare gli allievi a svolgere nel migliore modo possibile la professione e a superare gli esami a cui sceglieranno di sottoporsi liberamente, mantenendo la propria indipendenza e ovviamente distinzione da quegli enti che invece si occupano di certificazione.
Concluderei queste considerazioni dicendo che, da professionisti della formazione, riteniamo che proprio il carattere di volontarietà della certificazione di ente terzo rappresenti un’opportunità per quei professionisti che desiderano assicurare un importante elemento di garanzia al proprio profilo e per le aziende che devono scegliere un professionista cui affidarsi.
In quest’ottica quindi la proposta di corsi di alta formazione professionale, strutturati su un numero minimo di 80 ore, utili quindi a potersi successivamente certificare, risulta essere per noi una risposta conforme ad una richiesta di serietà di un Paese, di professionisti e di imprenditori che manifestano spesso il desiderio di propendere per una via ritenuta qualitativamente più sicura.
L’UNI, Ente italiano di normazione, ha pubblicato di recente la norma 11697 che definisce i profili professionali relativi al trattamento e alla protezione dei dati personali coerentemente con le definizioni fornite dall’EQF e utilizzando gli strumenti messi a disposizione dalla UNI 11621-1 “Metodologia per la costruzione di profili professionali basati sul sistema e-CF”.
Tale norma ha come punto di riferimento la legge 14 gennaio 2013, n. 4, che detta “Disposizioni in materia di professioni non organizzate”, al fine di definire i principi e criteri generali per la disciplina dell’esercizio autoregolamentato della singola attività professionale e pur non essendo obbligatoria si rivolge a tutte le parti interessate, ai vari livelli (per esempio, Regioni e Ministeri, pubbliche amministrazioni in genere, organizzazioni rappresentative delle imprese, organizzazioni rappresentative dei Sindacati dei lavoratori, organizzazioni che rappresentano i consumatori, Albi professionali interessati, associazioni professionali, organismi di valutazione della conformità, organizzazioni non governative, Università ed Enti di ricerca, associazioni culturali, ecc.).
La norma fornisce anche indicazioni per i processi di valutazione e di convalida delle conoscenze, abilità e competenze. E non solo. Si inserisce anche in un contesto molto delicato nell’ambito della protezione dei dati personali caratterizzato dall’entrata in vigore del Regolamento comunitario n. 2016/679 (GDPR) e dalla conseguente necessità di abrogare o comunque modificare, integrare la normativa preesistente (D.Lgs. n. 196/2003) al fine di avere una disciplina di immediata applicazione (a tale fine è stata emanata la legge delega n. 163/2017 e il dlgs 101 del 2018.).
Al riguardo non bisogna dimenticare che gli artt. 42 e 43 del GDPR danno ampio spazio alla certificazione ed agli organismi di certificazione e l’obiettivo ambizioso della norma UNI è anche quello di diventare la base di riferimento per la certificazione delle professionalità operanti nel campo della protezione dei dati personali che dovrà avere necessariamente natura comunitaria.
Avv. Anna Lo Conte Clementi
Sintesi D.lgs. 101/2018
Cosa vuol dire privacy nei social media
Il Decreto 10 agosto 2018 n.101 di adeguamento al Gdpr è uscito in Gazzetta Ufficiale… ecco cosa cambia!
Marketing e profilazione nel nuovo gdrp privacy